CyberNewsは4月11日(米国時間)、「Clubhouse data leak: 1.3 million scraped user records leaked online for free|CyberNews」において、音声SNSのClubhouseから130万件に上るユーザープロファイルデータがハッカーフォーラムにおいて無償で配布されていると伝えた。
CyberNewsによると、無償で配布されているデータには以下の情報が含まれているという。
- ユーザーID
- 登録した名前
- プロファイル写真のURL
- 連携しているTwitterのアカウント名
- 連携しているInstagramのアカウント名
- フォロワー数
- ユーザーがフォローしている人数
- アカウント作成日
- 招待したユーザーのユーザー名
これらは、いずれもユーザーのプロファイルページで公開されている情報である。Clubhouseの公式Twitterアカウントでは、これらの情報はアプリのAPIを利用すれば誰でも取得できるものであり、Clubhouseシステムが不正に侵害されたわけではない、という旨の説明がツイートされた。
アプリ内で公開されている情報とは言っても、場合によっては悪用につながる可能性があるので注意が必要だ。特に130万件という量には注目する必要がある。例えば、Clubhouseは実名登録が基本なため、TwitterやInstagramで実名を公表していないユーザーでも、Clubhouseのプロファイルデータを使えば照合が可能となる。機械的に作成されたTwitterまたはInstagramユーザーの実名リストが、フィッシング詐欺やソーシャルエンジニアリング攻撃に悪用される危険性も考えられる。
CyberNewsは、Clubhouseからの不審なメッセージや接続要求に注意するとともに、パスワードマネージャーを使用してパスワードの強度を高めることや、すべてのオンラインアカウントで2要素認証を導入することなどを推奨している。